Ключевое слово в защите информации
КЛЮЧЕВОЕ СЛОВО
в защите информации
Получить ГОСТ TLS-сертификат для домена (SSL-сертификат)
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error

Опции
К последнему сообщению К первому непрочитанному
Offline skull  
#1 Оставлено : 10 февраля 2017 г. 17:37:36(UTC)
skull

Статус: Участник

Группы: Участники
Зарегистрирован: 09.02.2017(UTC)
Сообщений: 24
Российская Федерация

Сказал(а) «Спасибо»: 7 раз
Здравствуйте, прошу оказать помощь с TLS!

Сервер работает на CentOS 6.6 x64. Установлен пакет КриптоПро CSP 4.0 КС2. Установлен серверный сертификат с закрытым ключен, корневой сертификат и СОС. В сервере приложений настроен коннектор на порту 8443. Запускаем сервер приложений и проверяем tls-туннель с помощью csptestf. Вот вывод команды /opt/cprocsp/bin/amd64/csptestf -tlsc -server 127.0.0.1 -port 8443 -v -v -v:

[root@localhost logs]# /opt/cprocsp/bin/amd64/csptestf -tlsc -server 127.0.0.1 -port 8443 -v -v -v
8 algorithms supported:
[0] 1.2.643.2.2.21 (ГОСТ 28147-89)
[1] 1.2.643.2.2.3 (ГОСТ Р 34.11/34.10-2001)
[2] 1.2.643.7.1.1.2.2 (ГОСТ Р 34.11-2012 256 bit)
[3] 0x801f
[4] 1.2.643.2.2.20 (ГОСТ Р 34.10-94)
[5] 1.2.643.2.2.19 (ГОСТ Р 34.10-2001)
[6] 1.2.643.7.1.1.1.1 (ГОСТ Р 34.10-2012)
[7] 1.2.643.7.1.1.1.2 (ГОСТ Р 34.10-2012)
Cipher strengths: 256..256
Supported protocols: 0x80
dwProtocolMask: 0x800a0aaa
Protocol version: 3.3
ClientHello: RecordLayer: TLS, Len: 92
Cipher Suites: (ff 85) (00 81) (00 32) (00 31)
97 bytes of handshake data sent
0000 16 03 01 00 5c 01 00 00:58 03 03 58 52 6a a9 5e ....\...X..XRj.^
0010 87 53 b4 16 dd 76 2a 27:22 f8 66 95 03 ad b4 49 .S...v*'".f....I
0020 d2 ec 30 20 85 1f 06 91:03 50 1e 00 00 08 ff 85 ..0 .....P......
0030 00 81 00 32 00 31 01 00:00 27 ff 01 00 01 00 00 ...2.1...'......
0040 23 00 00 00 00 00 0e 00:0c 00 00 09 31 32 37 2e #...........127.
0050 30 2e 30 2e 31 00 0d 00:08 00 06 ee ee ef ef ed 0.0.1...........
0060 ed .

**** Error 104 reading data from server
An error occurred in running the program.
/dailybuildsbranches/CSP_4_0/CSPbuild/CSP/samples/csptest/WebClient.c:578:Error performing handshake.
Error number 0x80090304 (2148074244).
The Local Security Authority cannot be contacted
An error occurred in running the program.
/dailybuildsbranches/CSP_4_0/CSPbuild/CSP/samples/csptest/WebClient.c:2818:Socket shutdown()
Error number 0x80090304 (2148074244).
The Local Security Authority cannot be contacted
Total: SYS: 0,030 sec USR: 0,090 sec UTC: 0,160 sec
[ErrorCode: 0x80090304]

При запуске сервер приложений формирует лог tls.log. А после попытки загрузить страничку https://localhost:8443/ в этот же лог вываливается дамп (во вложении tls.log (5kb) загружен 13 раз(а).). Страница в браузере при этом не открывается.

Подскажите, в чем может быть ошибка, где искать ее причину?
Offline Максим Коллегин  
#2 Оставлено : 10 февраля 2017 г. 23:12:03(UTC)
Максим Коллегин

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 12.12.2007(UTC)
Сообщений: 6,374
Мужчина
Откуда: КРИПТО-ПРО

Сказал «Спасибо»: 32 раз
Поблагодарили: 704 раз в 613 постах
А что за сервер, можно поподробнее?
Знания в базе знаний, поддержка в техподдержке
Offline skull  
#3 Оставлено : 13 февраля 2017 г. 9:40:40(UTC)
skull

Статус: Участник

Группы: Участники
Зарегистрирован: 09.02.2017(UTC)
Сообщений: 24
Российская Федерация

Сказал(а) «Спасибо»: 7 раз
Виртуалка на VMWare.
Развернута для тестирования совместимости ПО с CSP 4.0.
CentOS 6.6 с ядром 2.6.32-573.7.2.el6.x86_64.
Какие сведения нужны ?

Отредактировано пользователем 13 февраля 2017 г. 9:41:26(UTC)  | Причина: Не указана

Offline Максим Коллегин  
#4 Оставлено : 13 февраля 2017 г. 15:22:48(UTC)
Максим Коллегин

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 12.12.2007(UTC)
Сообщений: 6,374
Мужчина
Откуда: КРИПТО-ПРО

Сказал «Спасибо»: 32 раз
Поблагодарили: 704 раз в 613 постах
Интересует именно TLS-сервер. Чей это лог?
Знания в базе знаний, поддержка в техподдержке
Offline skull  
#5 Оставлено : 16 февраля 2017 г. 11:55:58(UTC)
skull

Статус: Участник

Группы: Участники
Зарегистрирован: 09.02.2017(UTC)
Сообщений: 24
Российская Федерация

Сказал(а) «Спасибо»: 7 раз
TLS-сервер работает под Apache Tomcat 7. Лог формирует наша имплементация TLS на JAVA. Выяснили кстати, что дамп в tls.log это лишь результат логирования в режиме DEBUG, это не ошибка.
Проверили работу TLS-сервера под Apache Tomcat 7 на двух других серверах с CSP 4.0 и CSP 3.6. На них TLS заработал, ура!
На проблемном сервере по прежнему нет... На нём же попробовали настроить TLS с помощью stunnel с использованием того же сертификата. tls не поднялся... Вот конфиг:

pid = /opt/cprocsp/sbin/amd64/stunnel_serv.pid
output = /opt/cprocsp/sbin/amd64/stunnel_serv.log
socket = l:TCP_NODELAY=1
socket = r:TCP_NODELAY=1
debug = 7

[https]
accept = 80
connect = 443
cert = /home/tech2017.cer
verify = 0


Вот и формируемый лог:

2017.02.16 11:36:09 LOG5[19908:140508684384096]: stunnel 4.18 on x86_64-unknown-linux-gnu
2017.02.16 11:36:09 LOG5[19908:140508684384096]: Threading:PTHREAD Sockets:POLL,IPv6 Auth:LIBWRAP
2017.02.16 11:36:09 LOG6[19908:140508684384096]: file ulimit = 10240 (can be changed with 'ulimit -n')
2017.02.16 11:36:09 LOG6[19908:140508684384096]: poll() used - no FD_SETSIZE limit for file descriptors
2017.02.16 11:36:09 LOG5[19908:140508684384096]: 0 clients allowed
2017.02.16 11:36:09 LOG7[19908:140508684384096]: FD 5 in non-blocking mode
2017.02.16 11:36:09 LOG7[19908:140508684384096]: FD 6 in non-blocking mode
2017.02.16 11:36:09 LOG7[19908:140508684384096]: FD 8 in non-blocking mode
2017.02.16 11:36:09 LOG7[19908:140508684384096]: SO_REUSEADDR option set on accept socket
2017.02.16 11:36:09 LOG7[19908:140508684384096]: https bound to 0.0.0.0:80
2017.02.16 11:36:09 LOG7[19909:140508684384096]: Created pid file /opt/cprocsp/sbin/amd64/stunnel_serv.pid
2017.02.16 11:36:09 LOG7[19909:140508684384096]: open file /home/tech2017.cer with certificate
2017.02.16 11:36:09 LOG5[19909:140508684384096]: CertFindCertificateInStore not find certificate in LOCAL_MACHINE store. Looking at CURRENT_USER
2017.02.16 11:36:09 LOG3[19909:140508684384096]: **** Error 0x80090304 returned by AcquireCredentialsHandle

2017.02.16 11:36:09 LOG3[19909:140508684384096]: Error creating credentials

2017.02.16 11:36:09 LOG7[19909:140508684384096]: removing pid file /opt/cprocsp/sbin/amd64/stunnel_serv.pid


В логе ошибка с тем же кодом, что и при проверке TLS-соединения с помощью csptestf (см. первое сообщение в теме). Код ошибки 0x80090304. Ключи установлены в хранилище пользователя root с привязкой к файлу сертификата. Помогите разобраться в чем проблема...
Offline Максим Коллегин  
#6 Оставлено : 17 февраля 2017 г. 9:29:47(UTC)
Максим Коллегин

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 12.12.2007(UTC)
Сообщений: 6,374
Мужчина
Откуда: КРИПТО-ПРО

Сказал «Спасибо»: 32 раз
Поблагодарили: 704 раз в 613 постах
Скорее всего не открывается контейнер при создании мандата. Где находится контейнер? Пароль не на него не установлен?
Знания в базе знаний, поддержка в техподдержке
Offline skull  
#7 Оставлено : 17 февраля 2017 г. 10:11:27(UTC)
skull

Статус: Участник

Группы: Участники
Зарегистрирован: 09.02.2017(UTC)
Сообщений: 24
Российская Федерация

Сказал(а) «Спасибо»: 7 раз
Контейнер размещен в /var/opt/cprocsp/keys/root/. Пароль на него установлен стандартный 12345678. Сертификат установлен в хранилище пользователя root.
Offline Максим Коллегин  
#8 Оставлено : 21 февраля 2017 г. 10:19:57(UTC)
Максим Коллегин

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 12.12.2007(UTC)
Сообщений: 6,374
Мужчина
Откуда: КРИПТО-ПРО

Сказал «Спасибо»: 32 раз
Поблагодарили: 704 раз в 613 постах
Попробуйте сделать контейнер без пароля.
Знания в базе знаний, поддержка в техподдержке
RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.